Ниже перечислены новые возможности, использованные в службе очереди сообщений версии 5.0, разработанной для данной версии Windows.
Обработка большого количества очередей
В службе очереди сообщений 5.0 реализованы возможности по обработке значительно большего количества очередей. Хотя служба очереди сообщений 4.0 не накладывала ограничений на количество создаваемых очередей, наличие нескольких тысяч очередей оказывало негативное влияние на производительность. В частности, при загрузке очередей в память скорость запуска служб очереди сообщений была очень медленной из-за алгоритма проверки очереди. Алгоритм проверки очереди, используемый службой очереди сообщений при запуске, был оптимизирован для Windows® 7 и существенного улучшил эффективность запуска службы при одновременном размещении в системе большого числа очередей.
Более надежный алгоритм проверки подлинности
Служба очереди сообщений версии 5.0 поддерживает безопасный алгоритм хэширования версии 2.0 (SHA2) и все усовершенствованные алгоритмы хэширования, поддерживаемые этой версией Windows. По умолчанию используется SHA-2 с длиной 512 бит. Поддержка таких алгоритмов как SHA1, Message Digest версии 2 (MD2), MD4, MD5 и Message Authentication Code (MAC) по умолчанию отключена в службе очереди сообщений версии 5.0, поскольку эти алгоритмы являются менее безопасными. Для включения поддержки слабых алгоритмов выполните представленные ниже действия.
Включение поддержки для слабых алгоритмов хэширования
Слабые алгоритмы можно включить для поддержки любых приложений службы очереди сообщений, которым они необходимы, добавив раздел реестра WeakHashAlgorithms. Если этот раздел реестра отсутствует (по умолчанию), тогда все менее безопасные алгоритмы отключены. Если этот раздел реестра присутствует, тогда все менее безопасные алгоритмы включены. Чтобы включить только определенные слабые алгоритмы, необходимо добавить раздел реестра и указать значения тех слабых алгоритмов, которые должны оставаться отключенными.
Внимание! | |
Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных. |
Настройка поддержки для слабых алгоритмов проверки подлинности |
-
Нажмите кнопку Пуск и в поле Начать поиск введите regedit, затем нажмите клавишу ВВОД.
-
Перейдите к следующему подразделу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSMQ\Parameters\Security
-
В меню Правка выделите пункт Создать и выберите Раздел.
-
Введите WeakHashAlgorithms в качестве имени нового раздела реестра, затем нажмите клавишу ВВОД.
Примечание Добавление этого раздела обеспечивает поддержку для всех слабых алгоритмов проверки подлинности.
-
Щелкните правой кнопкой мыши WeakHashAlgorithms, выделите пункт Создать и выберите Параметр DWORD (32 бита), затем введите любое имя для нового значения.
-
Дважды щелкните мышью Параметр DWORD (32 бита), нажмите Десятичный, а затем в поле Значение: введите соответствующее значение для алгоритма, который необходимо отключить:
- 32769 для MD2
- 32770 для MD4
- 32771 для MD5
- 32773 для MAC
- 32772 для SHA1
- 32769 для MD2
-
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Изменение параметра DWORD (32 бита).
-
Создайте новые значения DWORD (32 бита) для дополнительных алгоритмов, которые следует отключить.
-
В меню Файл выберите пункт Выход, чтобы закрыть редактор реестра.
-
Чтобы изменения, внесенные в реестр, вступили в силу, перезапустите службу очереди сообщений.
Впоследствии реестр можно отредактировать снова, например удалить соответствующее значение, чтобы включить поддержку определенного алгоритма.
Если приложение службы очереди сообщений выполняется в данной версии Windows и выбирает менее безопасный алгоритм проверки подлинности, служба очереди сообщений переопределит этот выбор и по умолчанию будет использовать SHA2 вместо слабого алгоритма.
Включение поддержки отправки сообщений, прошедших проверку подлинности, клиентам MSMQ 1 и MSMQ 2
При отправке сообщений клиентам MSMQ 1 или 2 сообщения, прошедшие проверку подлинности, будут отклонены, поскольку MSMQ 1 и 2 не поддерживают проверку подлинности SHA-2. Для включения поддержки отправки сообщений клиентам MSMQ 1 и 2 следует добавить раздел реестра DefaultHashAlgorithm.
- Если этот раздел реестра отсутствует (по
умолчанию), то сообщения будут проходить проверку подлинности с
использованием SHA-2.
- Если этот раздел реестра присутствует, то
сообщения будут проходить проверку подлинности с использованием
заданного алгоритма.
Чтобы включить только определенные слабые алгоритмы, необходимо добавить раздел реестра и указать значение того слабого алгоритма, который нужно включить.
Внимание! | |
Ошибка при изменении реестра может серьезно повредить систему. Перед изменением реестра создайте резервную копию всех важных данных. |
Настройка поддержки отправки сообщений с использованием слабого алгоритма проверки подлинности |
-
Нажмите кнопку Пуск и в поле Начать поиск введите regedit, затем нажмите клавишу ВВОД.
-
Перейдите к следующему подразделу реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSMQ\Parameters\Security
-
В меню Правка выделите пункт Создать и выберите Раздел.
-
Введите DefaultHashAlgorithm в качестве имени нового раздела реестра, затем нажмите клавишу ВВОД.
Примечание Добавление этого раздела обеспечивает поддержку для отправки сообщений с использованием определенных слабых алгоритмов проверки подлинности.
-
Щелкните правой кнопкой мыши DefaultHashAlgorithm, наведите указатель на Создать, выберите Параметр DWORD (32 бита), а затем введите любое имя для нового параметра.
-
Дважды щелкните мышью Параметр DWORD (32 бита), нажмите Десятичный, а затем в поле Значение: введите соответствующее значение для алгоритма, который необходимо включить.
- 32769 для MD2
- 32770 для MD4
- 32771 для MD5
- 32773 для MAC
- 32772 для SHA1
- 32769 для MD2
-
Нажмите кнопку ОК, чтобы закрыть диалоговое окно Изменение параметра DWORD (32 бита).
-
В меню Файл выберите пункт Выход, чтобы закрыть редактор реестра.
-
Чтобы изменения, внесенные в реестр, вступили в силу, перезапустите службу очереди сообщений.
Впоследствии реестр можно отредактировать снова, например удалить соответствующее значение, чтобы отключить поддержку определенного алгоритма.